小型コンピューターとして有名なラズベリーパイを購入しました。
OSは公式サイトからダウンロードしたNOOBSを利用してRaspbianをインストールしました。

ところでなんですが、このRaspbianというOSはデフォルトの設定でSSH接続が許可されており、ユーザー名はpi、パスワードはraspberryとなっているため、ローカルネットワークに有線LANで接続することですぐにSSH接続が可能となります。そのうえユーザーpi はsudo実行権限もあります。

このラズベリーパイをユーザー名やパスワードを変更しないままルーターのグローバルIPアドレスを調べて、SSHポート開放も行い、インターネットから接続できるようにして便利に使用としたところ、誰にもグローバルIPアドレスは伝えていないにもかかわらず公開から3日後にラズベリーパイが何者かに乗っ取られ大量のメールが送信されてプロバイダからインターネット接続停止の措置を受けていまいました。

プロバイダ側からラズベリーパイからの送信が確認ができたメールは10分間に12万通とのことで、この12万通は宛先不明で返送されてきたものなので、プロバイダからは実際には10分間で100万件以上のメールが送信された可能性があると説明を受けました。

そこで質問です

質問1
ラズベリーパイをデフォルト設定で公開することは危険でしょうか?

質問2
攻撃者はどのようにして私だけが知っているグローバルIPアドレスを調べあげたのでしょうか?

質問3
このようにサーバーの乗っ取り被害に合わないためにどのような対策や認証方式を行うべきでしょうか?

質問4
$ historyに侵入者がコマンドを実行した形跡がなかったのですがどのようにしてスクリプトやコマンドを実行したのでしょうか?

いま思ってみても公開されているユーザー名とパスワードをそのまま使うのはあまりに無防備だったのかなと思いますが、ほかの方の役に立てればと思い共有させてもらいました。

なお、被害にあった翌日、プロバイダのセキュリティ部門から自宅に電話があり、乗っとり被害にあった事情を話すと自宅でサーバーの公開はしないようにしてくださいと念を押されたあとインターネットの停止措置は解除されました。